Analiza załącznika nr 2 wprowadzonego zarządzeniem Nr 624/24//IX/S Prezydenta Miasta Gdyni z dnia 10 listopada 2024 r., dalej: Zarządzenie.
Przedmiotowa analiza została przygotowania w związku z zarzutami podniesionym na profilu Stowarzyszenie Bryza1 odnośnie braku podstawy do wydania przedmiotowego zarządzenia oraz podejmowania czynności związanych z przeglądem danych publikowanych w Biuletynie Informacji Publicznej.
W związku z oznaczeniem Stowarzyszenia Sieć Obywatelska Watchdog Polska w tym poście, poinformowaliśmy, że odniesiemy się do podnoszonych zarzutów.
Poniżej przedstawiona została analiza załącznika nr 2 do Zarządzenia w zakresie podstaw prawnych do jego wydania i treści merytorycznych.
1. Rola zarządzeń.
Zarządzenia wójta/burmistrza/prezydenta są wykorzystywane w zasadzie do kwestii organizacji i funkcjonowania urzędów gminy/miasta, a także innych spraw z zakresu tak zwanego kierownictwa wewnętrznego. Takowa forma działania wynika z uprawnień organu wykonawczego jako kierownika urzędu, który wykonuje uprawnienia zwierzchnika służbowego w stosunku do pracowników urzędu oraz kierowników gminnych jednostek organizacyjnych. Należy zaznaczyć, że zarządzenia co do zasady nie mają charakteru przepisów prawa miejscowego i nie wywołują skutków na zewnątrz w stosunku do mieszkańców poza sytuacją wskazaną w art. 41 ust. 1 ustawy o samorządzie gminnym. Przeprowadzona analiza sprowadza się do kwestii regulacji Zarządzenia w kontekście art. 24 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej: RODO.
2. Technika prawodawcza.
Analizowany załącznik do Zarządzenia w niektórych elementach powtarza treści zawarte w ustawie o dostępie do informacji publicznej, czy też znajdujące się w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej, dalej: Rozporządzenie
Zgodnie z zasadami wyrażonymi w Rozporządzeniu Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie „Zasad techniki prawodawczej” m. in. w zarządzeniach nie powtarza się przepisów ustaw oraz przepisów innych aktów normatywnych. Formułowany tzw. „zakaz powtórzeń” był wielokrotnie przedmiotem orzecznictwa sądów administracyjnych. W tym zakresie warto zwrócić uwagę na uzasadnienie wyroku WSA w Warszawie z 21 grudnia 2022 r., sygn. akt VII SA/Wa 1553/22:
„Niemniej podnosi się również, że powtórzenie zapisów ustawy nie zawsze jest traktowane jako istotna wada aktu prawnego. Zakaz powtórzeń nie ma charakteru bezwzględnego i w pewnych sytuacjach przytaczanie treści aktów prawnych wyższego rzędu w akcie prawa miejscowego może być dopuszczone (por. np. wyrok NSA z dnia 17 listopada 2015 r. sygn. akt II GSK 952/15; wyrok NSA z dnia 6 maja 2014 r. sygn. akt I OSK 338/14). Dopuszcza się możliwość powtórzenia w akcie prawa miejscowego zapisów ustawowych, o ile takie powtórzenie ma charakter dosłowny i uzasadnione jest względami zapewnienia komunikatywności tekstu prawnego, stanowiąc określenie materii, która jest regulowana aktem prawa miejscowego (zob. wyrok NSA z 17 listopada 2016 r. sygn. akt II GSK 952/15 – CBOSA). Uzasadniona jest przejrzystością tekstu skupiającego wówczas całość regulacji uchwały. Ustawodawca przekazując prawodawcy podustawowemu regulację określonej materii, pozostawił mu bowiem pewien margines swobody. Pomimo, że przepisy dotyczące zasad techniki prawodawczej stanowią, że w akcie prawa miejscowego zamieszcza się tylko przepisy regulujące sprawy przekazane do unormowania w upoważnieniu ustawowym i nie powtarza się w tym akcie przepisów ustaw, to jeżeli mają one charakter informacyjny, a nie normatywny, nie stanowią istotnego naruszenia prawa (por. wyrok WSA w Szczecinie z dnia 28 lipca 2021 r. sygn. akt II SA/Sz 658/21).”
3. Treść załącznika nr 2 do Zarządzenia.
Przedmiotowy załącznik zawiera dziewięć paragrafów związanych z prowadzeniem Biuletynu Informacji Publicznej. W pierwszej kolejności podnieść należy, iż podstawowe kwestie związane z Biuletynem Informacji Publicznej uregulowane zostały w art. 8 i 9 ustawy o dostępie do informacji publicznej i we wskazanym wyżej Rozporządzeniu.
Paragraf pierwszy załącznika zawiera podstawowe definicje dla tego aktu jak m. in. „Panel administracyjny”, czy określeniem kto jest „Redaktorem”.
Paragraf drugi i trzeci zawierają instrukcje odnośnie wskazania ogólnych zakresów publikowania informacji oraz zakresu dostępu do zawartości BIP przez Redaktorów. W § 3 ust. 8 wskazano, iż publikowanie danych w BIP musi odbywać się z uwzględnieniem obowiązków nałożonych na podmioty zobowiązane w zakresie ochrony m. in. danych osobowych, czy tajemnicy przedsiębiorcy.
Paragraf czwarty dotyczy kwestii sposobu publikacji informacji np., że odbywa się to poprzez przeglądarkę internetową, a dokumenty umieszczane w BIP mają odpowiadać zasadom dostępności wynikającym z ustawy o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych.
Paragraf piąty odnosi się do obowiązków i uprawień Kierownika, którym każdorazowo jest osoba zatrudniona na stanowisku kierowniczym w komórce organizacyjnej lub jednostce organizacyjnej. Kwestie uregulowane w tym paragrafie mają wyłącznie charakter techniczny.
Paragraf szósty i siódmy dotyczą również kwestii technicznych związanych z obowiązkami i uprawnieniami Koordynatora BIP i Redaktorów.
Paragraf ósmy dotyczy kwestii przeglądu i usuwania informacji z BIP. Sam tytuł tego paragrafu może budzić obawy jednakże warto w tym zakresie przeanalizować w całości zapisów tej jednostki redakcyjnej.
Paragraf dziewiąty dotyczy kwestii RODO. W zasadzie sprowadza się do określenia administratora danych, podstawy przetwarzania danych, praw osób, których dane znajdują się w BIP i danych osób, które publikują, zarządzają BIP oraz wskazania uprawnienia do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
4. Przegląd i usuwanie danych.
Wspomniany paragraf ósmy zawiera w ustępie pierwszym obowiązek skierowany do osób zajmujących się BIPem przeglądania danych opublikowanych raz na 6 miesięcy pod kątem zasadności ich udostępniania. Osoby dokonujące przeglądu zobowiązane są przy weryfikacji zasadności udostępniania danych osobowych kierować się zasadami wyrażonymi w art. 5 RODO tj. zgodności z prawem, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia czasowego, integralności i poufności. Następnie wskazano na okresy publikacji danych i określanie tych okresów. Jednocześnie wskazano procedurę wskazywania danych do usunięcia. Wskazania do usunięcia danych zawiera Rejestr Czynności Przetwarzania. Po dokonaniu przeglądu sporządza się notatkę służbową, w której wskazuje się informacje do modyfikacji/usunięcia z BIP lub stwierdza się, że taka konieczność nie istnieje. Po zaakceptowaniu informacji z przeglądu przez Kierownika notatka jest przekazywana do Redaktora, który nanosi odpowiednie zmiany.
Opisane wyżej postępowanie mające na celu przegląd publikowanych danych w Biuletynie Informacji Publicznej jest zasadne. W tym względzie należy w pierwszej kolejności podnieść, iż wejście w życie przepisów RODO w kontekście prowadzenia Biuletynów Informacji Publicznej nie wiązało się ze zmianami ustawy o dostępie do informacji publicznej, czy Rozporządzenia.
Kwestie przetwarzania danych osobowych w Biuletynie Informacji Publicznej po Decyzji Prezesa Urzędu Ochrony Danych Osobowych odnośnie Burmistrza Aleksandrowa Kujawskiego były przedmiotem wyroku Naczelnego Sądu Administracyjnego z 28 lutego 2024 r., sygn. akt. II OSK 3839/22. Naczelny Sąd Administracyjny utrzymał w mocy wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/193 Odnośnie przedmiotowego Załącznika do Zarządzenia w kwestii przeglądu danych i ewentualnego ich usuwania warto zwrócić uwagę na następujące tezy z wyroku WSA:
„Również prawidłowo organ ocenił naruszenie art. 5 ust. 1 lit. e) w związku z art. 5 ust. 2, tj. zasady ograniczenia przechowywania oraz art. 24 rozporządzenia 2016/679 poprzez brak odpowiednich polityk, dotyczących przetwarzania danych osobowych w BIP Urzędu Miejskiego w A. pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych.
Zasada określona mianem „ograniczenia przechowywania”, określona w art. 5 ust 1 lit. 3 rozporządzenia 2016/679 stanowi, iż „dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”.
Nadto „dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”). Zgodnie z tą zasadą, po osiągnięciu celów, w jakich przetwarzane są dane osobowe, powinny zostać one usunięte albo skasowane.
Zgodnie z przepisem art. 24 ust. 1 rozporządzenia 2016/679 „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Sąd podziela konstatację organu, że na administratorze danych osobowych spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z prawem. Takie środki techniczne nie zostały wprowadzone, organ nie zapewnił w żaden sposób, aby wszystkie informacje, których cel przetwarzania został osiągnięty, zostały usunięte.
Zarzut stawiany w skardze do Sądu, dotyczący naruszenia prawa materialnego, tj. art. 5 ust 1 lit. e w zw. z art. 5 ust. 2 oraz art. 24 rozporządzenia 2016/679 i art. 11b ust. 1 ustawy o samorządzie gminnym i art. 8 k.p.a., poprzez ich niewłaściwe zastosowania, sprowadza się właściwie do tego, że okres na jaki mają (mogą) być publikowane dane w Biuletynie Informacji Publicznej nie został określony, przez co zdaniem skarżącego istnieje luka prawna. Zarzut ten jest nietrafny: jak wskazano powyżej, pomimo, że nie ma wprost wskazanych okresów maksymalnych, po których upływie dane osobowe powinny zostać usunięte, z zasady ograniczenia przechowania wynika, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Administrator danych osobowych określa „niezbędny cel” przez wdrożenie odpowiedniej procedury, o której mowa w przepisie art. 24 ust. 1 rozporządzenia 2016/679 [podkreślenie SOWP]. Z uwagi na brak działań skarżącego w opisanym kierunku, Sąd nie dopatrzył się w niniejszej sprawie naruszenia przez organ przepisu art. 8 k.p.a.
Warto również zwrócić uwagę na treść uzasadnienia do pierwotnej decyzji Prezesa Urzędu Ochrony Danych Osobowych4, która stała się przedmiotem oceny sądów:
„W kontekście powyższego należy stwierdzić, że opublikowane w BIP informacje, dla których termin publikacji nie wynika z przepisów prawa, powinny zostać poddane ocenie, zgodnie z formalną procedurą (wprowadzoną przez administratora), zapewniającą usystematyzowane kształtowanie BIP, tak aby wszystkie informacje, dla których cel przetwarzania został osiągnięty, zostały z BIP usunięte.
Jak ustalono w toku kontroli, w Urzędzie Miejskim w Aleksandrowie Kujawskim została wdrożona wewnętrzna procedura dotycząca prowadzenia BIP, jednakże nie zawiera ona zasad dotyczących przeglądu danych opublikowanych w BIP pod kątem zapewnienia ich przetwarzania zgodnie z zasadą ograniczonego przechowywania [podkreślenie SOWP]. Burmistrz Miasta Aleksandrowa Kujawskiego naruszył tym samym dyspozycję zawartą w art. 5 ust. 1 lit. e) oraz art. 24 ust. 2 ogólnego rozporządzenia o ochronie danych.
(…) Podkreślenia wymaga, że to Burmistrz jest administratorem, a zatem to na nim spoczywa obowiązek zapewnienia, aby przetwarzanie danych zamieszczonych w BIP było zgodne z przepisami ogólnego rozporządzenia o ochronie danych, tym samym zgodne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. lit. e ogólnego rozporządzenia o ochronie danych. Burmistrz powinien opracować i wdrożyć procedury, z których będą wynikały terminy usuwania z BIP informacji zawierających dane osobowe oraz zasady dokonywania przeglądów zawartości BIP w celu weryfikacji, czy określone w ten sposób terminy usuwania danych osobowych są przestrzegane (art. 24 ogólnego rozporządzenia o ochronie danych).
Z materiału dowodowego zgromadzonego w sprawie wynika, że Burmistrz Miasta Aleksandrowa Kujawskiego nie określił w procedurach wewnętrznych terminu usuwania danych opublikowanych w Biuletynie Informacji Publicznej, jak również nie opracował procedur dotyczących przeglądu zasobów danych w materiałach opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczenia przechowywania. W związku z brakiem takich procedur, jak stwierdzono w toku kontroli, na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim publikowane są dokumenty zawierające dane osobowe przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, a nawet przez okres dłuższy, niż wynika to z przepisów prawa określających okres przechowywania dokumentów zawierających dane osobowe, jak to ma miejsce w odniesieniu do oświadczeń majątkowych. [podkreślenie SOWP]
W tym miejscu podkreślić należy, że skutkiem powyższego jest umożliwienie dostępu do danych nieograniczonej liczbie użytkowników Internetu. Każdy bowiem, kto ma dostęp do Internetu, w dowolnym czasie i bez żadnych ograniczeń może przeglądać zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, a w konsekwencji mieć wgląd w dane osobowe, które w tych zasobach się znajdują. Tym samym Burmistrz Miasta Aleksandrowa Kujawskiego naruszył art. 5 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych.
Ponadto, z uwagi na to, że przedmiotowa procedura regulować ma istotne dla procesu przetwarzania danych osobowych czynności na tych danych w celu zapewnienia realizacji zasady ograniczenia przechowywania, to należy ją traktować jako politykę ochrony danych, o której mowa w art. 24 ust. 2 ogólnego rozporządzenia o ochronie danych. W konsekwencji, wobec braku tej procedury stwierdzić należy naruszenie przez Burmistrza także i tego przepisu ogólnego rozporządzenia o ochronie danych w kontekście zasady rozliczalności wyrażonej w art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych.
Również w innej decyzji z 11 czerwca 2019 r., ZSZZS.440.592.2018 Prezes Urzędu Ochrony Danych Osobowych odnosił się do kwestii Biuletynu Informacji Publicznej5.
„W tym zakresie Prezes Urzędu podziela stanowisko, zgodnie z którym nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane, w tym też udostępniane innym podmiotom. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania (tak również: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, Kraków 2007, wyd. 4, s. 510). W związku z powyższym, na administratorze danych ciąży obowiązek rozważenia celowości i ustanowienia okresu udostępniania danych osobowych oraz ich niezwłocznego usuwania po upływie ustanowionego okresu.
Celem Biuletynu Informacji Publicznej nie jest archiwizowanie informacji, lecz zapewnienie obywatelom powszechnego dostępu do informacji publicznej. Cel informacyjny traci na znaczeniu z upływem czasu. Brak jest przepisu, który określałby czas niezbędny do osiągnięcia celu związanego z publikacją informacji w biuletynie, niemniej jednak przedmiotowe zarządzenie […] Kuratora Oświaty zostało wydane w dniu […] czerwca 2015 roku, co nasuwa wniosek, że po tak długim czasie cel ten już się ziścił. Co więcej zwrócić należy uwagę na wybiórczość opublikowanych w biuletynie informacji na temat Skarżącej. Wciąż pozyskać można informację na temat złożonego przez Skarżącą odwołania od oceny pracy, natomiast brak jest informacji o sposobie zakończenia postępowania w tym przedmiocie. Stawiać to może Skarżącą w negatywnym świetle i sugerować, iż zapadłe rozstrzygnięcie mogło być dla niej niekorzystne. Zważając na to, że powyższe dane nie są już niezbędne do celów, dla których są przetwarzane, Prezes Urzędu nakazał ich usunięcie na podstawie art. 18 ust. 1 pkt 1 ustawy z 1997 roku.”
5. Podstawa prawna do wydania Zarządzenia.
W podstawie prawnej Zarządzenia wskazany został art. 30 ust. 1 w zw. z art.11b ust. 1 i 2 ustawy o samorządzie gminnym. Art. 30 ust. 1 stanowi upoważnienie do wykonywania uchwał i zadań gminy określone przepisami, natomiast art. 11b odnosi się do kwestii jawności działania gminy. Można przyjąć, że wskazana podstawa nie jest precyzyjna, ponieważ sam art. 11b ust. 1 i 2 dotycząc kwestii jawności działania gminy nie daje podstaw do wydania takowego Zarządzenia. Jednocześnie art. 30 ust. 1 w części wykonywania zadań gminy określonych przepisami może stanowić podstawę do wydania Zarządzenia jako aktu wewnętrznego z tym zastrzeżeniem, że powinien być połączony z art. 24 ust. 1 i 2 RODO. W tym zakresie szczegółowo cytowany jest wyżej wyrok WSA i stanowisko Prezesa Urzędu Ochrony Danych Osobowych. Wskazane w art. 24 ust. 2 wdrożenie odpowiednich polityk ochrony danych wymaga wprowadzenia takowych polityk, przy czym nie zostało zdefiniowane w tym przepisie jaki charakter miałby mieć te polityki. Takim dokumentem może być Zarządzenie i regulacje wskazane w załączniku. Tym samym w zakresie podstawy prawnej wymagana byłaby korekta poprzez wskazane właśnie art. 24 ust. 1 i 2 RODO jednakże nie wpływa to na samą regulację i jej adekwatność.
6. Podsumowanie.
- Istnieje podstawa prawa do wydania Zarządzenia zawierającego analizowany załącznik.
- Treść załącznika nie zawiera treści, które byłby naruszeniem prawa do informacji.
- Zawarta w nim procedura ewentualnego usunięcia danych po przeglądzie gwarantuje możliwość zapoznania się z decyzją – sporządzona jest notatka służbowa, która podlega pod prawo do informacji.
- W kontekście potencjalnych kar jakie może nałożyć Prezes Urzędu Ochrony Danych Osobowych (w/w Wyrok i stanowiska Prezesa Urzędu Ochrony Danych Osobowych) wprowadzenie tego typu rozwiązań jest uzasadnione.
- Ponadto zgodnie z Rozporządzeniem każdy Biuletyn Informacji Publicznej musi zawierać następujące rozwiązanie:
㤠16.
- Strony BIP są wyposażone w mechanizm dziennika, w którym odnotowywane są zmiany w treści informacji publicznych udostępnianych w BIP oraz próby dokonywania takich zmian przez osoby nieuprawnione.
- Dzienniki dla tych stron prowadzone są w sposób automatyczny.
- Administratorzy stron BIP dokonują kontroli dzienników, o których mowa w ust. 1, w odniesieniu do podlegających im stron, w każdy dzień powszedni.
Tym samym istnieje możliwość sprawdzenia każdej zmiany w Biuletynie Informacji Publicznej.
